Dados Voláteis

Autor: Paulo Neukamp  //  Categoria: Dicas, Scripts

Uma das primeiras ações do perito ao chegar no local da investigação é a coleta dos dados voláteis, pois os mesmos serão perdidos caso o equipamento seja desligado. Pensando nisso e numa forma de agilizar este processo que é composto de uma série de comandos, segue um script para amenizar este tarefa.

O script abaixo, necessita do pacote zenity para ser executado (# apt-get install zenity) e trabalha de forma interativa, sendo assim, leia com atenção o que lhe é solicitado para que o mesmo funcione corretamente.

Limpando Mídias

Autor: Paulo Neukamp  //  Categoria: Scripts

Antes mesmo de pensar em adquirir uma cópia dos das evidências, o perito precisa sanitizar as mídias que serão uilizadas para armazená-las, uma vez que fragmentos antigos de dados que possam estar nestas mídias, poderiam atrapalhar na análise dos mesmos. Para sanitizar as mídias a serem utilizadas segue mais um script.

O script abaixo, necessita do pacote zenity para ser executado (# apt-get install zenity), e trabalha de forma interativa, sendo assim, leia com atenção o que lhe é solicitado para que o mesmo funcione corretamente.

CUIDADO AO UTILIZAR ESTE SCRIPT!!!


Gerando um arquivo de imagem da mídia

Autor: Paulo Neukamp  //  Categoria: Scripts

O script abaixo, necessita do pacote zenity para ser executado (# apt-get install zenity), e trabalha de forma interativa, sendo assim, leia com atenção o que lhe é solicitado para que o mesmo funcione corretamente.

Montando Imagens

Autor: Paulo Neukamp  //  Categoria: Scripts

Montando Imagens para Exame e Análise das evidências.

Uma imagem bit a bit de um disco é chamada de imagem raw. As imagens raw podem ser geradas de um disco inteiro com + de 1 partição chamadas de imagens raw físicas, pois geram uma imagem fiel do disco, não importando qual é o seu conteúdo. O outro tipo de imagem raw é chamado de imagem raw lógica, esta é gerada a partir de uma partição do disco físico (HD). Neste momento surge um problema pois o loopback do linux não monta imagens raw físicas (HD's) somente imagens raw lógicas, pois o loopback possui uma limitação simples, ele não interpreta a tabela de partições que está nos setores iniciais de uma imagem raw física. Para ser possível então contornar esta limitação do loopback é necessário executar alguns comando a fim de descobrir qual é a estrutura interna da imagem que pretendemos montar.
Um comando que pode auxiliar nesta tarefa é o sfdisk, vejamos:

Disco img-caso1-hd1.dd: não foi possível obter a geometria
Disco img-caso1-hd1.dd: 1216 cilindros, 255 cabeças, 63 setores/trilha
Aviso: a tabela de partições parece ter sido feita para
Cil/Cab/Set = */240/63 (em vez de 1216/255/63).
Para esta listagem será assumida aquela geometria.
Unidades = setores de 512 bytes, contando a partir de 0
Disp Boot Início Fim Cils Blocos Id Sistema
img-caso1-hd1.dd1   *        63  19519919   19519857   7  HPFS ou NTFS
img-caso1-hd1.dd2             0         –          0   0  Vazia
img-caso1-hd1.dd3             0         –          0   0  Vazia
img-caso1-hd1.dd4             0         –          0   0  Vazia

A saída do comando sfdisk mostra que a imagem raw física tem apenas uma partição iniciando no setor 63, é do tipo HPFS ou NTFS e que cada setor tem 512 bytes. Como mencionado anteriormente o loopback não Ler mais…

4 visitantes online agora
1 visitantes, 3 bots, 0 membros
Máx. de visitantes hoje: 9 às 12:04 am UTC
Este mês: 35 às 10-08-2019 03:29 pm UTC
Este ano: 35 às 09-17-2019 05:56 pm UTC
No total: 35 às 09-17-2019 05:56 pm UTC